Tomcat Web服务器安全配置基线.doc

Tomcat Web服务器安全配置基线  版本 版本控制信息 更新日期 更新人 审批人 V1.0 创建 2009年1月 V2.0 更新 2012年4月 备注： 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 目 录 第1章 概述 4 1.1 目的 4 1.2 适用范围 4 1.3 适用版本 4 1.4 实施 4 1.5 例外条款 4 第2章 帐号管理、认证授权 5 2.1 帐号 5 2.1.1 共享帐号管理* 5 2.1.2 无关帐号管理* 5 2.2 口令 6 2.2.1 密码复杂度 6 2.2.2 密码生存期 7 2.3 授权 7 2.3.1 用户权利指派* 7 第3章 日志配置操作 9 3.1 日志配置 9 3.1.1 审核登录 9 第4章 IP协议安全配置 10 4.1 IP协议 10 4.1.1 支持加密协议* 10 第5章 设备其他配置操作 11 5.1 安全管理 11 5.1.1 定时登出 11 5.1.2 错误页面处理 11 5.1.3 目录列表访问限制 12 第6章 评审与修订 14 概述 目的 本文档旨在指导系统管理人员进行Tomcat WEB服务器的安全配置。 适用范围 本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。 适用版本 4.x、5.x、6.x版本的Tomcat Web服务器。 实施 例外条款 帐号管理、认证授权 帐号 共享帐号管理* 安全基线项目名称 Tomcat共享帐号管理安全基线要求项 安全基线编号 SBL-Tomcat-02-01-01 安全基线项说明 应按照用户分配帐号。避免不同用户间共享帐号。避免用户帐号和设备间通信使用的帐号共享。 检测操作步骤 1、参考配置操作 修改tomcat/conf/tomcat-users.xml配置文件，修改或添加帐号。 user username=”tomcat” password=” Tomcat!234” roles=”admin” 2、补充操作说明 1、根据不同用户，取不同的名称。 2、Tomcat 4.1.37、5.5.27和6.0.18这三个版本及以后发行的版本默认都不存在admin.xml配置文件。 基线符合性判定依据 1、判定条件 各帐号都可以登录Tomcat Web服务器为正常 2、检测操作 访问http://ip:8080/manager/html管理页面，进行Tomcat服务器管理 备注 手工检查 无关帐号管理* 安全基线项目名称 Tomcat无关帐号管理安全基线要求项 安全基线编号 SBL-Tomcat-02-01-02 安全基线项说明 应删除或锁定与设备运行、维护等工作无关的帐号。 检测操作步骤 1、参考配置操作 修改tomcat/conf/tomcat-users.xml配置文件，删除与工作无关的帐号。 例如tomcat1与运行、维护等工作无关，删除帐号： user username=”tomcat1” password=”tomcat” roles=”admin” 基线符合性判定依据 1、判定条件 被删除的与工作无关的帐号tomcat1不能正常登陆。 2、检测操作 访问http://ip:8080/manager/html管理页面，使用删除帐号进行登陆尝试。 备注 手工检查 口令 密码复杂度 安全基线项目名称 Tomcat密码复杂度安全基线要求项 安全基线编号 SBL-Tomcat-02-02-01 安全基线项说明 对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。 检测操作步骤 1、参考配置操作 在tomcat/conf/tomcat-user.xml配置文件中设置密码 user username=”tomcat” password=”Tomcat!234” roles=”admin” 2、补充操作说明 口令要求：口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。 基线符合性判定依据 1、判定条件 检查tomcat/conf/tomcat-user.xml配置文件中的帐号口令是否符合口令复杂度要求。 2、检测操作 （1）人工检查配置文件中帐号口令是否符合； （2）使用tomcat弱口令扫描工具定期对Tomcat Web服务器进行远程扫描，检查是否存在弱口令帐号。 3、补充说明 对于使用弱口令扫描工具进行检查时应注意扫描的线程数等方面，避免对服务器造成不必要的资源消耗；选择在服